هجوم جديد عبر البريد الإلكتروني يهدد شبكات التحكم الصناعي

شهد الربع الأخير من عام 2025 موجة عالمية من الديدان الخبيثة التي تنتشر عبر البريد الإلكتروني، مستهدفة أنظمة التحكم الصناعي (ICS). هذا التحول في طبيعة التهديدات يمثل تطورًا مقلقًا في المشهد السيبراني للبيئات التقنية التشغيلية (OT).

جاءت هذه الزيادة مدفوعة بشكل كبير ببرنامج خبيث واحد، استطاع الانتشار بصمت عبر رسائل التصيد الاحتيالي، ليصل إلى شبكات أنظمة التحكم الصناعي في جميع أنحاء العالم خلال شهرين فقط.

تكشف عن موجة تهديدات جديدة عبر أنظمة التحكم الصناعي

في قلب هذه الظاهرة، يبرز برنامج خبيث يعرف باسم Backdoor.MSIL.XWorm، وهو نوع من البرامج الضارة المصممة للتموضع داخل الأنظمة المصابة ومنح المهاجمين السيطرة الكاملة عن بعد على الأجهزة المخترقة.

ما يجعل هذا الانتشار مقلقًا بشكل خاص هو أن هذا التهديد لم يكن له أي وجود على أجهزة أنظمة التحكم الصناعي في الربع السابق، ولكنه ظهر فجأة وبشكل واسع في جميع المناطق الجغرافية خلال الربع الرابع من عام 2025.

وفقًا لتحليلات Securelist، فإن النسبة الإجمالية لأجهزة أنظمة التحكم الصناعي التي تم فيها حظر الديدان الخبيثة ارتفعت بنسبة 1.6 مرة لتصل إلى 1.60% خلال هذه الفترة، وهي زيادة حادة مدفوعة بالكامل تقريبًا بهذا الهجوم الكبير.

آلية الانتشار والتقنيات المستخدمة

ربط محللو Securelist انتشار Backdoor.MSIL.XWorm عبر رسائل البريد الإلكتروني للتصيد الاحتيالي بتقنية معينة لإخفاء التهديدات، والتي استخدمها المهاجمون بكثافة في حملات التصيد الجماعي خلال الربع الرابع من عام 2025.

اعتمدت هذه الحملات، المعروفة منذ عام 2024 باسم “Curriculum-vitae-catalina”، على حيلة بسيطة لكنها فعالة. أرسل المهاجمون رسائل بريد إلكتروني إلى مديري الموارد البشرية، والموظفين المسؤولين عن التوظيف، مقنعين إياها بأنها طلبات وظائف.

تضمنت هذه الرسائل ملفًا تنفيذيًا خبيثًا يقدم على أنه سيرة ذاتية، يحمل اسم Curriculum Vitae-Catalina.exe، والذي كان يتسبب في إصابة النظام فور فتحه.

لم يظهر الإصابة دفعة واحدة، بل جاء على موجتين. استهدفت الموجة الأولى في أكتوبر روسيا وأوروبا الغربية وأمريكا الجنوبية وكندا. تبعتها موجة ثانية في نوفمبر، انتشرت إلى مناطق إضافية قبل أن تتباطأ الحملة في ديسمبر.

وسجلت جنوب أوروبا وأمريكا الجنوبية والشرق الأوسط أعلى معدلات للإصابة، وهي مناطق شهدت في السابق مخاطر متزايدة لأنظمة التحكم الصناعي من التهديدات القائمة على البريد الإلكتروني.

في أفريقيا، شق الدود طريقًا مختلفًا عبر وسائط التخزين القابلة للإزالة، مما يعكس تنوع مسارات الانتشار.

من الناحية الإقليمية، تراوحت نسبة أجهزة أنظمة التحكم الصناعي التي تم فيها حظر الكائنات الخبيثة من 8.5% في شمال أوروبا إلى 27.3% في أفريقيا في الربع الرابع من عام 2025، مما يوضح الفجوة الواسعة في مستويات التعرض عالميًا.

برز قطاع النفط والغاز كالصناعة الوحيدة التي شهدت زيادة في التهديدات المحظورة خلال هذه الفترة، خاصة في روسيا وآسيا الوسطى.

وفي حين أن الاتجاه الأوسع عبر جميع الصناعات التي شملتها الدراسة كان انخفاضًا تدريجيًا على مدى سنوات، فإن الطفرة التي سببتها هذه الدودة في الربع الرابع من عام 2025 جاءت كتذكير صارخ بأن البريد الإلكتروني لا يزال نقطة دخول قوية للبيئات الصناعية الحساسة.

داخل آلية الإصابة

توضح آلية عمل Backdoor.MSIL.XWorm النهج المدروس لاكتساب الوصول والحفاظ عليه داخل الشبكات الصناعية. عند قيام الهدف بفتح ملف السيرة الذاتية المزيف، يتم تنفيذ البرمجية الخبيثة بهدوء في الخلفية.

يقوم الدود بإنشاء استمرارية على النظام لضمان بقاءه حتى بعد إعادة التشغيل أو الصيانة الروتينية. ومنذ تلك اللحظة، يفتح قناة للتحكم عن بعد، مما يسمح للمهاجمين بمراقبة النشاط، والتنقل داخل الشبكة، واحتمالية تعطيل عمليات التقنية التشغيلية.

ساعدت تقنيات إخفاء التهديدات المستخدمة في حملات “Curriculum-vitae-catalina” الدودة على تجاوز أدوات الكشف القياسية، من خلال إخفاء سلوكها الحقيقي داخل طبقات من البرمجيات النصية والحمولة المشفرة.

وهذا يفسر سبب ذهاب البرمجية الخبيثة دون اكتشاف على أجهزة أنظمة التحكم الصناعي في الربع الثالث من عام 2025، ثم ظهورها بشكل كبير في الربع التالي مباشرة.

شهدت جنوب أوروبا الزيادة الأكبر، حيث ارتفع نشاط حظر الديدان بنسبة 2.16 مرة، ويرجع ذلك أساسًا إلى أن هذه المنطقة كانت بالفعل تتمتع بأعلى معدل للتهديدات القائمة على البريد الإلكتروني بين بيئات أنظمة التحكم الصناعي عالميًا.

لذلك، يجب على فرق الأمن التي تدير بيئات ICS أو OT أن تتعامل مع أي بريد إلكتروني غير مرغوب فيه يحتوي على مرفقات قابلة للتنفيذ كخطر جسيم، حتى لو بدت هذه الرسائل وكأنها قادمة من باحثين حقيقيين عن عمل.

تنصح المؤسسات بتطبيق سياسات تصفية بريد إلكتروني صارمة تعمل على حظر المرفقات القابلة للتنفيذ قبل وصولها إلى المستخدمين النهائيين.

كما يجب تدريب الموظفين في أدوار الموارد البشرية وكل من لديه وصول إلى الأنظمة ذات الصلة بالتقنية التشغيلية بشكل مركز على تحديد محاولات التصيد الاحتيالي التي تحاكي اتصالات التوظيف.

يجب أيضًا تشديد سياسات استخدام الوسائط القابلة للإزالة، لا سيما في مناطق مثل أفريقيا حيث أثبت التهديد عبر USB أنه مسار نشط خلال هذه الحملة.

يعد الحفاظ على تحديث نقاط نهاية أنظمة التحكم الصناعي وتشغيل أدوات الكشف السلوكي أمرًا ضروريًا للتعرف على تهديدات مثل XWorm التي تم تصميمها خصيصًا لتجنب الدفاعات القائمة على التوقيعات.

What's Hot

حصار الباحثين والموردين.. معركة متجددة في ظروف استثنائية

مخترقون يستغلون ثغرة بخوادم “إيفرست فورمس برو” للاستيلاء على المواقع

الطبقة الأخيرة بصمود

تكشف عن موجة تهديدات جديدة عبر أنظمة التحكم الصناعي

آلية الانتشار والتقنيات المستخدمة

داخل آلية الإصابة

قراصنة “فويد دوكايبى” يستخدمون مقابلات عمل وهمية لنشر برمجيات خبيثة عبر مستودعات الأكواد

قراصنة يسرقون جلسات تلغرام عبر سكريبت PowerShell مستضاف على Pastebin

قراصنة يستغلون صفحات “كابتشا” وهمية للاحتيال عبر الرسائل الدولية

مخترقون يستغلون أجهزة راوتر مخترقة لإخفاء عمليات صينية سيبرانية

مخترقو الفدية يطورون أداة خاصة لتسريب البيانات الحساسة

مخترقون يستخدمون روبوتات تيليجرام لرصد أكثر من 900 ثغرة React2Shell ناجحة

مخترقون يستغلون ثغرة بخوادم “إيفرست فورمس برو” للاستيلاء على المواقع

الطبقة الأخيرة بصمود

سيسكو تصلح ثغرة حرجة بالتحديث الرابع للأمن في وحدة الاتصالات الموحدة

عميلك الذكي قد يصبح أكبر تهديد داخلي لك

ثغرة في GitHub Action لـ Claude تسمح لهجمات خبيثة على المستودعات

نشرة التهديدات: عملاء الذكاء الاصطناعي الخارجون عن السيطرة وأدوات C2 المشبوهة وحيل ClickFix وأبواب خلفية لـ JS وأكثر من 20 قصة جديدة

سيسكا تدرج ثغرة ماجنتو ذات الخطورة العالية في قائمتها.

What's Hot

هجوم جديد عبر البريد الإلكتروني يهدد شبكات التحكم الصناعي

تكشف عن موجة تهديدات جديدة عبر أنظمة التحكم الصناعي

آلية الانتشار والتقنيات المستخدمة

داخل آلية الإصابة

Keep Reading